Comment les entreprises améliorent leur sécurité informatique
9 min

Comment les entreprises améliorent leur sécurité informatique

L’évaluation de la sécurité menée dans l’entreprise Stadler Form de Zoug a révélé certaines failles de sécurité. Mais, avant tout, elle a permis au responsable IT de comprendre comment traiter et renforcer la sécurité informatique de manière stratégique. Cette expérience et les recommandations d’action correspondantes peuvent bénéficier également à d’autres entreprises.

Que se passe-t-il si on lâche des «hackers» professionnels sur une PME suisse? Ils trouvent des failles de sécurité et peuvent accéder aux données et applications. C’est exactement ce qui s’est passé pour l’entreprise Stadler Form de Zoug. Une chance que les hackers en question aient été des professionnels spécialisés dans la sécurité informatique, et non des cybercriminels aux intentions malhonnêtes.

Stadler Form a en effet gagné un Security Assessment professionnel dans le cadre du concours Swisscom «Win a Hacker». A cette occasion, les spécialistes ont examiné à la loupe l’infrastructure IT à l’aide des mêmes outils que ceux utilisés par les cybercriminels. Le but d’une telle évaluation est justement d’identifier et de corriger les failles de sécurité avant que des assaillants criminels ne trouvent des points faibles.

La situation chez Stadler Form est typique de nombreuses PME: la prise en charge interne de l’informatique constitue un travail annexe et n’est que l’une des nombreuses tâches de la personne désignée, ici, Samuel Wyss. Si ce dernier est très porté sur les nouvelles technologies, il n’est pas informaticien pour autant. D’où un jeu inégal: d’un côté, une PME aux ressources limitées et aux compétences réduites; de l’autre, des cybercriminels spécialisés aux connaissances approfondies. Néanmoins, Samuel Wyss n’est pas tout seul. «En cas de besoin, je peux demander l’aide des spécialistes de notre société de services informatiques», explique-t-il.

Le point faible typique: une combinaison de facteurs

L’évaluation aide Samuel Wyss et la société de services informatiques à améliorer la protection de l’entreprise. «Les points faibles que nous avons découverts sont typiques d’une PME», résume l’un des experts en sécurité en évoquant les résultats. Des points faibles qui relèvent souvent, non pas de la technique, mais de l’humain. Le plus grand risque? La combinaison de mots de passe peu sûrs et de droits d’accès trop étendus. Daniel Aegerter, spécialiste de la sécurité chez Swisscom, l’explique ainsi: «Nous rencontrons souvent le cas où les utilisateurs travaillent avec des droits d’administrateur. Cela facilite la propagation des malwares.» Par exemple, le malware peut s’installer dans le système et tenter d’obtenir des droits étendus pour, in fine, contrôler l’ensemble de l’infrastructure IT.

Un autre exemple de point faible dû à l’humain: certes, la plupart des entreprises disposent d’un backup, mais elles ne vérifient pas souvent si la stratégie de sécurité est encore à jour et si la restauration, par exemple après une infection par des ransomwares, fonctionne.

Tout comme une combinaison de facteurs peu sûrs représente un risque pour la sécurité, la combinaison de plusieurs mesures de protection peut améliorer cette dernière. Par exemple, les spécialistes de la sécurité informatique recommandent non seulement d’utiliser un mot de passe administrateur – unique – composé d’au moins 16 caractères pour l’administration du système, mais également d’utiliser un ordinateur servant uniquement à l’administration et n’étant pas connecté à Internet.

Le problème des mises à jour

Parmi les tâches dédiées à un administrateur système, figurent notamment la mise à jour régulière des systèmes d’exploitation et des applications, également appelée «Patch Management». La recommandation des spécialistes de la sécurité sur ce point est claire: les mises à jour doivent être installées dès leur publication par le fabricant de logiciels. En effet, les criminels utilisent le plus souvent les failles connues, qu’un patch à jour permet de corriger.

Mais un problème se pose: dans les PME, les systèmes sont souvent pris en charge par une société de services qui s’occupe également de la diffusion des mises à jour sur le serveur. Comme des problèmes et incompatibilités sont régulièrement détectés lors des mises à jour Windows, de nombreuses mises à jour sont d’abord testées. Ou bien, on attend d’être sûr que la mise à jour fonctionne parfaitement. D’une part, cela retarde l’installation des mises à jour et donne aux cybercriminels un créneau durant lequel tirer profit des failles connues.

D’autre part, réduire les intervalles de temps entre les mises à jour engendre un surcroît de travail pour les sociétés de services informatiques, puisqu’il faut ensuite contrôler que les systèmes fonctionnent sans problème. Cela se traduit par un SLA (Service Level Agreement) plus coûteux. Pour sa part, Stadler Form a décidé d’avaler la pilule, comme l’explique Samuel Wyss: «Au vu des résultats de l’évaluation, nous avons raccourci les intervalles de mise à jour, bien que cela nous coûte plus cher.»

Des investissements stratégiques dans la sécurité

Le coût reste un problème important en matière de sécurité informatique. En effet, les mesures de sécurité n’apportent pas directement de valeur ajoutée. Elles peuvent toutefois aider à répondre aux exigences quotidiennes de l’entreprise. Quand, par exemple, des collaborateurs du service externe doivent accéder aux applications de l’entreprise alors qu’ils sont en déplacement, une connexion VPN cryptée peut assurer une protection contre les attaques. Samuel doit également justifier les investissements dans la sécurité auprès de sa direction. «Les dépenses ne sont acceptées que si je peux présenter les avantages pour l’entreprise», explique-t-il.

Samuel Wyss, Stadler Form: «Le Security Assessment m’a aidé à hiérarchiser correctement les priorités.» (Photo: Daniel Brühlmann)

Pour lui, le Security Assessment est arrivé au bon moment: «Je savais que nous devions investir davantage dans la sécurité», explique Samuel Wyss. «Mais je ne savais pas vraiment comment établir les priorités». Les résultats du contrôle de sécurité l’ont aidé sur ce point. «Je connais maintenant les prochaines étapes et je peux expliquer quelles mesures sont nécessaires», affirme-t-il.

Le cycle de la sécurité informatique

L’évaluation a également dirigé Samuel Wyss sur la voie d’une approche stratégique et systématique de la sécurité informatique. «Nous devons nous attaquer aux causes», explique-t-il. «Par exemple, en définissant des recommandations d’action pour des mots de passe sûrs, et en sensibilisant les collaborateurs à l’importance de ces derniers

Pour lui, passer régulièrement des Security Assessments est une autre idée à considérer. «Les avantages l’emportent sur les coûts», affirme-t-il. «Ne rien faire revient à mettre en jeu la sécurité de l’entreprise.»

Ne laissez aucune chance au hacker

Le bref e-learning fournit trois conseils comportementaux de base aux collaborateurs, sur la façon de se protéger contre le phishing et de créer des mots de passe sécurisés. Cela contribue à améliorer la sécurité dans l’entreprise.


Conseils de sécurité informatique pour les PME

Ces mesures assurent une meilleure protection sur le plan technique, c’est-à-dire pour les systèmes d’exploitation et les applications. Leur mise en œuvre peut nécessiter l’assistance d’une société de services informatiques.

Configurer de manière sûre les serveurs et les postes de travail («durcissement»)

La plupart des configurations de base des systèmes d’exploitation, aussi bien pour le poste de travail que pour les serveurs, sont trop laxistes en matière de sécurité. C’est pourquoi les systèmes devraient être mieux sécurisés après l’installation de base, ce qu’on appelle dans le jargon le «durcissement». A cette occasion, par exemple, les services inutiles sont supprimés, les exigences en matière de longueur de mot de passe définies et les droits d’accès restreints.

Le CIS (Center for Internet Security) offre toute une série d’instructions en anglais qui correspondent aux démarches courantes («best practices»). Les fabricants du système d’exploitation eux-mêmes proposent une assistance dans ce domaine, par exemple Microsoft dans cette introduction au durcissement de Windows 10 (en anglais).

Empêcher l’installation de logiciels

Les collaborateurs ont des tâches différentes qui nécessitent différents logiciels. L’installation de logiciels spéciaux ne devrait avoir lieu que sous le contrôle du responsable IT. Cela permet d’éviter que les collaborateurs installent des programmes de provenance douteuse et introduisent ainsi des malwares.

Etablir un inventaire des logiciels et équipements

C’est une tâche digne de Sisyphe, mais pourtant nécessaire. En tant que responsable informatique, établissez un inventaire des logiciels et équipements installés. En font notamment partie les postes de travail avec applications, les serveurs, les smartphones professionnels, mais également les imprimantes et autres appareils en réseau. Un tel inventaire sert de base de décision lors du signalement d’une nouvelle faille grave. Suivant les versions logicielles utilisées, il est possible de déterminer rapidement si l’entreprise est touchée et doit réagir. A condition que l’inventaire soit à jour.

Empêcher la connexion d’appareils extérieurs et privés au réseau

Les ordinateurs portables et smartphones privés représentent un risque pour la sécurité, dans la mesure où l’on ne connaît pas leur état. Toutes les mises à jour actuelles sont-elles installées? L’ordinateur est-il contaminé par des virus?

Lors de l’utilisation d’appareils privés au bureau, ces derniers devraient être installés sur un réseau séparé sans accès aux applications de l’entreprise et données critiques, par exemple sur un WiFi pour invités.

Pour les postes de travail, l’accès par clé USB devrait être soumis à des règles: soit la connexion est totalement bloquée, soit la clé doit a minima faire l’objet d’un contrôle viral lors de la connexion.

Contrôler périodiquement le réseau d’entreprise pour en déceler les failles

Votre réseau d’entreprise et les appareils qui y sont connectés sont-ils sûrs? Un scanneur de vulnérabilité contrôle l’infrastructure informatique et décèle ses éventuelles faiblesses, contribuant ainsi à définir les mesures de sécurité nécessaires. Des scans réguliers aident l’entreprise à contrôler les risques effectifs. Il existe de nombreux logiciels de scannage payants ou gratuits. Par exemple, Greenbone Community Edition, précédemment OpenVAS, est largement répandu. Open Web Application Security Project est un bon point de départ pour les applications Web comme les sites Internet ou les boutiques en ligne.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Lisez maintenant